og fysisk sikring,---,0c

Håndbok i datasikker16:6- t N og fysisk sikring,---,0c Revidert utgave, septembér 1998 \v,4,

45 Statistisk sentralbyrås håndbøker Håndbok i datasikkerhet og fysisk sikring Revidert utgave, september 1998 Statistisk sentralbyrå Statistics Norway Oslo-Kongsvinger 1998

Statistisk sentralbyrås håndbøker 45 Sikkerhetshåndbok Forord En av de viktigste forutsetningene for at datasikkerheten og den fysiske sikringen i Statistisk sentralbyrå er god, er at alle ansatte kjenner de viktigste regler og rutiner som gjelder og respekterer disse. «Sikkerhetshåndbok for Statistisk sentralbyrå» inneholder de regler og interne retningslinjer som styrer sikkerheten i Statistisk sentralbyrå og som er av allmenn interesse for alle ansatte. Den inneholder også beskrivelser av hvordan sikkerhetsarbeidet er organisert, hvordan sikkerhetsoppgaver og ansvar er fordelt samt at den sier litt om de viktigste rutinene som skal følges for ivaretagelse av sikkerheten for hele Statistisk sentralbyrå. I tillegg er det tatt med stoff som er av mer informativ karakter. Sikkerhetshåndboka deles ut til alle ansatte i Statistisk sentralbyrå, men jeg forutsetter ikke at alle skal måtte lese alt. Det viktigste er at den enkelte gjør seg kjent med boka og at de deler av den som har interesse og betydning i den enkeltes daglige arbeid blir lest mer nøye. Stoffet i denne 3. utgaven av Sikkerhetshåndboka er disponert slik at det er lagt større vekt på behandling av person- og foretaksopplysninger enn tidligere. Dette betyr imidlertid ikke at Statistisk sentralbyrå anser fysiske og IT-messige sikringstiltak som mindre viktige. Har du spørsmål til håndboka eller andre forhold rundt sikkerheten i Statistisk sentralbyrå som du ikke får svar på ved din enhet, kan du henvende deg til et av Sikkerhetsutvalgets medlemmer. Statistisk sentralbyrå, Oslo, september 1998 Svein Longva 3

Statistisk sentralbyrås håndbøker 45 Sikkerhetshåndbok Innhold A 1. Innledning 7 1.1. Mål for sikkerheten i Statistisk sentralbyrå 7 1.2. Lovgrunnlag for SSBs virksomhet 7 Statistikkloven 7 Datatilsynets rammekonsesjon 8 Forvaltningslov og offentlighetslov 8 Personregisterloven 8 EØS 8 1.3. Opplegg for sikkerhetshåndboka 9 B 2. Sikkerhetsorganisasjon, ansvar/oppgavefordeling 10 2.1. Instrukser for sikkerhetsansvarlige 10 C Behandling av PERSONOPPLYSNINGER/FORETAKS- OPPLYSNINGER i statistikkproduksjon 13 3. Datainnsamling 13 3.1. Generelt 13 3.2. Hjemmel for datainnsamling mv. 13 3.3. Vedtak om bruk av lovhjemmel ved datainnsamling og ved bruk av tvangsmulkt 14 3.4. Frivillige undersøkelser 15 3.5. Databehandling i Statistisk sentralbyrå som databehandlingsforetak 16 3.6. Taushetsplikten 16 3.7. Personregister 17 3.8. Plikter pålagt den registeransvarlige i Statistisk sentralbyrå 18 3.9. Rutiner ved søknad/melding om konsesjon 18 4. Databearbeiding 20 4.1. Generelt 20 4.2. Koblinger av data som er samlet inn med hjemmel i statistikkloven 20 4.3. Koblinger av frivillige undersøkelser med andre data 20 4.4. Kryptering av fødselsnummer, rutiner 20 5. Datalagring 22 5.1. Lagring med identifikasjon 22 5.2. Lagring med kryptert identifikasjon 22 5.3. Overlevering til Riksarkivet 22 6. Offentliggjøring av statistikk 23 6.1. Offentliggjøring av statistikk 23 7. Utlevering av individualopplysninger/mikrodata 25 7.1. Den enkeltes innsynsrett i SSBs personregistre 25 7.2. Offentlighetens rett til innsyn 25 7.3. Generelt om utlevering av individualopplysninger/mikrodata fra statistiske grunndata 26 7.4. Utlevering av individualopplysninger til forskningsformål og offentlig planlegging 27 5

Sikkerhetshåndbok Statistisk sentralbyrås håndbøker 45 7.5. Utlevering av næringsopplysninger for etablering og ajourhold av registre 27 7.6. Overføring av personregistre til utlandet 28 7.7. Utlevering av data innenfor EØS-området 28 7.8. Saksbehandling ved utleveringssaker 29 D Sikringstiltak 32 Generelt 32 8. Fysiske sikringstiltak 32 8.1. Behandling av makulatur 32 8.2. Fysisk sikring og adgangskontroll i SSBs lokaler 33 8.3. Utlevering og tilbakelevering av nøkler og adgangskort 33 8.4. Merking av utstyr 33 8.5. Beredskaps- og katastrofesikring 33 8.6. Branninstruks 34, 9. IT-messige sikringstiltak 35 9.1. Sikkerhetsinstruks for dataeier 9.2..Sikkerhetsinstruks for data- og programbrukere 35 9.3. Sikkerhetsinstruks for systemutviklere og programmerere 35 9.4. Sikkerhetsinstruks for systemprogrammerere 35 9.5. Sikkerhetsinstruks for maskindrift 36 9.6. Regler for sletting av data på PC 36 9.7. Bruk av telenett og lnternett for informasjonsoverføring 36 10. Sikringstiltak i henhold til Sikkerhets- og Beskyttelsesinstruksen 37 10.1. Informasjonsmateriale i henhold til Sikkerhets- og Beskyttelsesinstruksen 37 11. Prosedyremessige sikringstiltak 39 11.1. Sikkerhetsklarering og autorisasjon av personale 39 11.2. Bruk av kopimaskin og skrivere 39 Vedlegg A: Konsesjon for opprettelse av personregister 40 B: Melding om opprettelse av personregister med sensitivt innhold og andre registre opprettet på frivillig grunnlag jfr. rammekonsesjon 97/1805-1 av 25.6.97 57 C: Taushetserklæring 61 D: Modellavtaler ved utlevering av data fra Statistisk sentralbyrå og modellbrev for avslag på søknad om utlevering 62 E: Utlevering/tilbakelevering av data 68 F: Sikker databehandling i Statistisk sentralbyrå 70 G: Mal for årlig sikkerhetsrapport fra avdelingene 71 H: Retningslinjer for: Etablering av ny statistikk, frigiving av statistikk og forholdet til pressen 72 Indeks 76 De sist utgitte publikasjonene i serien Statistisk sentralbyrås håndbøker 79 6

Statistisk sentralbyrås håndbøker 45 Sikkerhetshåndbok A 1. Innledning Sikkerhet deles inn i tre forhold som skal dekke den totale sikkerheten: Konfidensialitet (Begrenset innsyn) Kvalitet (Data er til å stole på) Tilgjengelighet (Data er tilgjengelig) 1.1. Mål for sikkerheten i Statistisk sentralbyrå En god sikkerhet skal medvirke til at Statistisk sentralbyrå oppfyller målsetningen om å fremme effektiv produksjon av tjenlig statistikk uten å bryte statistikkloven, andre lovbestemmelser eller pålegg fra Datatilsynet. Dette innebærer at den totale informasjonsmengde Statistisk sentralbyrå til enhver tid sitter inne med blir godt ivaretatt gjennom en tilfredsstillende datasikkerhet og fysisk sikring av bygninger og materiell. Dette skal forhindre at informasjonen blir: Brukt til andre formål enn forutsatt Ødelagt/slettet tidligere enn nødvendig Endret/forfalsket/feiltolket Brukt av ikke autorisert personale Oppbevart lenger enn nødvendig Sikkerhetstiltakene må være rettet mot de hovedformer for trusler som finnes. De må være rettet mot misbruk hos Statistisk sentralbyrås medarbeidere og andre som kommer i lovlig kontakt med våre data og dataanlegg, da disse representerer alle former for trusler. Det er særlig viktig at all utlevering av individuelle opplysninger/mikrodata fra statistiske grunndata blir nøye vurdert i forhold til de lover og retningslinjer som gjelder for slik utlevering. Videre må tiltakene være rettet mot innbrudd i Statistisk sentralbyrås lokaler, tapping av linjer og alle former for ulovlig adgang til data fra fremmede terminaler, mot tekniske feil og ulykker som brann, strømbrudd, vannskader, innbrudd o.l. som kan forårsake ødeleggelse av data og utstyr. Det er dessuten viktig å ha et datavern som kan forsvares økonomisk og som ikke sinker statistikkproduksjonen unødig. Det er derfor også viktig å redusere sikkerhetsrisikoen og dermed sikkerhetstiltakene så langt som mulig. Sikkerhetsrisikoen kan bl.a. reduseres ved å slette data som det ikke lenger er bruk for, kryptere identifikasjonsnumre eller avidentifisere data der dette er mulig, og ikke lagre data med en detaljrikdom Statistisk sentralbyrå ikke har bruk for. Sikringstiltakene bør ikke være av en slik art at de skaper unødige tunge arbeidsrutiner og redusert trivsel for den enkelte. På den annen side må medarbeiderne sette seg inn i og respektere de sikkerhetsregler og tiltak som gjelder til enhver tid. En god sikkerhet har også som mål å ivareta den enkelte ansattes sikkerhet og eiendom ved å redusere risikoen mest mulig for at uvedkommende tar seg inn i Statistisk sentralbyrås bygninger. Arbeidet med å sikre den enkeltes arbeidsplass, arbeidsmiljø, helse o.l. vil ellers ikke bli behandlet i denne håndboka da dette er saksområder som reguleres av arbeidsmiljøloven samt annet regelverk. Disse forhold er det blant annet egne utvalg i Statistisk sentralbyrå som har ansvar for. 1.2. Lovgrunnlag for SSBs virksomhet Statistilddoven Statistisk sentralbyrås virksomhet reguleres av statistilddoven. Statistikklovens formål er å fremme effektiv produksjon av tjenlig statistikk gjennom regler for innsamling og bruk av opplysninger til statistiske formål (statistikkloven 1-1). Statistisk sentralbyrå er det sentrale organ for utarbeiding og spredning av offisiell statistikk, men skal også gi opplysninger til statistisk bruk for forskningsformål og for offentlig planlegging innenfor de rammer loven gir. Både innhenting, bruk og utlevering av opplysninger reguleres i statistikkloven. Både opplysninger innhentet på frivillig grunnlag og opplysninger innhentet etter fastsatt opplysningsplikt reguleres av loven. Statistisk sentralbyrå kan med hjemmel i statistikkloven 2-2 benytte oppgaveplikt dersom opplysningene er nødvendig for utarbeidelse av offisiell statistikk. Bare lovbestemt taushetsplikt kan stå i veien for oppgaveplikten. Oppgaveplikten kan pålegges «enhver», dvs. både fysiske og juridiske personer, private som offentlige. I tillegg har Statistisk sentralbyrå rett til å utnytte allerede eksisterende administrative registre i statsforvaltningen og i landsomfattende kommunale organisasjoner. Dette følger av statistikkloven 3-2. 7

sikkerhetshåndbok Statistisk sentralbyrås håndbøker 45 Statistilddovens regler om taushetsplikt (statistikkloven 2-4), bruk av opplysninger (statistilddovens 2-5) og offentliggjøring av opplysninger (statistikklovens 2-6) angir rammene for hvordan vi kan behandle de opplysninger som er innhentet med sikte på å utarbeide offisiell statistikk. Datatilsynets rammekonsesjon Selv om Statistisk sentralbyrås virksomhet, inkludert innhenting og bruk av opplysninger, reguleres av statistikkloven, vil det oppstå konsesjonsplikt ved opprettelse av personregistre, se punkt 3.7. Dette følger av personregisterloven. Lovgiver har m.a.o. overlatt til Datatilsynet å sette vilkår for etablering av personregistre i Statistisk sentralbyrå utover det som følger av statistikkloven mht. innhold og bruk. Dessuten er Datatilsynet gitt myndighet til å bestemme at opplysninger gitt frivillig eller innhentet etter fastsatt opplysningsplikt kan brukes til annet enn utarbeidelse av offisiell statistikk (statistikklovens 2-5). Det følger av forarbeidene til loven at man her snakker om enkelte, lite følsomme opplysninger. Eksempel på slik godkjennelse av «annen bruk» er den tillatelse som er gitt i rammekonsesjonen til utlevering av særskilte næringsopplysninger til bruk for opprettelse og oppdatering av andre offentlige og private registre. Den tillatelse som er gitt i rammekonsesjonen til statistisk bruk av opplysninger til forsknings- og offentlige planleggingsformål, er også eksempler på at Datatilsynet har godkjent «annen bruk». Da Statistisk sentralbyrå er innehaver av et stort antall personregistre som ville gjøre det upraktisk å ha en egen konsesjon for hvert enkelt register, har Datatilsynet regulert våre registre gjennom en egen rammekonsesjon. Her er det gitt rammebetingelser for registrene og det skal innenfor rammekonsesjonen sendes melding for hvert nytt register som opprettes og/eller for eventuelle endringer i forhold til tidligere meldinger. Slik meldeplikt gjelder imidlertid kun for registre som inneholder sensitive personopplysninger og for registre der opplysningene er innhentet på frivillig grunnlag. For andre registre gjelder det en halvårlig rapporteringsplikt. Se mer om dette under kapittel C, pkt. 3. Det er et grunnleggende og viktig krav at medarbeiderne i Statistisk sentralbyrå må kjenne til og overholde bestemmelsene i statistikkloven og vilkår satt i Datatilsynets rammekonsesjon. Statistikkloven og rammekonsesjonen følger som vedlegg til denne håndboka. Forvaltningslov og offentlighetslov Statistisk sentralbyrå som forvaltningsorgan er underlagt forvaltningsloven og offentlighetslovens bestemmelser om saksbehandling, journalføring, tilgang til opplysninger, offentlighet/unntak fra offentlighet mv. En del av disse bestemmelsene som omhandler tilgang til og beskyttelse av opplysninger, vil være av betydning for ivaretakelse av sikkerheten i Statistisk sentralbyrå og vil derfor bli gjennomgått i det følgende. Personregisterloven En god del av våre registre vil være opprettet til andre formål enn til utarbeidelse av offisiell statistikk. Slike registre vil ikke høre inn under rammekonsesjonen, men i utgangspunktet være konsesjonspliktige. I forskriftene til personregisterloven er det gjort unntak fra konsesjonsplikten for en del typiske registre, som lønns- og personalregistre, journal/brevarkiv, adresseregistre og kunderegistre. Forskriftene angir hvilke opplysninger disse registrene kan inneholde, hva de kan brukes til og hvem/ hva det kan utleveres opplysninger til. Holder man seg innenfor vilkår satt i forskriftene trenger man ikke søke konsesjon. Ved opprettelse av personregistre som faller utenfor rammekonsesjonen (opprettet til andre formål enn statistikk) og opprettelse av personregistre som ikke er unntatt fra konsesjon, jf. personregisterlovens forskrifter, vil det måtte søkes særskilt konsesjon. Eksempel på register som krever særskilt konsesjon er bedriftshelsetjenestens IT-register. EØS Enkelte EOS-relevante forordninger og direktiver er med å danne grunnlag og sette rammebetingelser for Statistisk sentralbyrås virksomhet. Både EUs personverndirektiv, rådsforordning om overføring av konfidensielle data til Eurostat og EUs statistikklov bør nevnes i denne sammenheng. Implementeringsarbeidet som gjelder for all EØS-relevant EU-lovgivning er imidlertid ikke sluttført. Det foreligger utkast til ny lov om behandling av personopplysninger. Loven forventes vedtatt i løpet av 1998 og vil erstatte dagens personregisterlov. 8

Statistisk sentralbyrås håndbøker 45 Sikkerhetshåndbok EUs statistilddov forutsettes også implementert i norsk lovgivning. Loven antas ikke å medføre behov for særlige endringer i statistilddoven, men arbeidet her er ennå ikke sluttført fra Finansdepartementets side. 1.3. Opplegg for sikkerhetshåndboka Sikkerhetshåndboka er delt inn i 4 hovedkapitler. Til forskjell fra tidligere utgaver av sikkerhetshåndboka er nå temaer som mer naturlig hører sammen, samlet innenfor hvert av disse hovedkapitlene. Man håper med dette å gjøre det enklere for leserne å bruke håndboka. Kapittel A er en innledende redegjørelse for utgangspunktet for sikkerhetsarbeidet i SSB samt for rammene for virksomheten. Kapittel B beskriver hvordan sikkerhetsarbeidet i SSB er organisert og plasserer ansvar for de forskjellige deler av sikkerhetsarbeidet. Kapittel C omhandler reglene for behandling av personopplysninger som gjelder for SSB og tar for seg de bestemmelser og vilkår for behandling som følger av statistikkloven, personregisterloven og rammekonsesjonen fra Datatilsynet. Kapittel D omhandler fysiske, IT-messige og prosedyremessige sikringstiltak som må gjelde for å sikre tilgjengelighet til opplysningene og den nødvendige konfidensialitet. 9

Sikkerhetshåndbok Statistisk sentralbyrås håndbøker 45 B 2. Sikkerhetsorgansisasjon, ansvar/oppgavefordeling 2.1. Instrukser for sikkerhetsansvarlige Statistisk sentralbyrå samler inn og lagrer store mengder data om personer, foretak, organisasjoner og myndigheter. Det er etter statistilddoven og personregisterloven vårt ansvar at disse dataene blir effektivt utnyttet til statistikk og forskning og samtidig blir beskyttet slik at den enkelte oppgavegiver ikke blir skadelidende. Statistisk sentralbyrå har også et ansvar for at data som skal brukes i fremtiden blir arkivert på en forsvarlig måte. Alle tilsatte i Statistisk sentralbyrå skal følge de regler og instrukser de blir pålagt av sine overordnede. Hver tilsatt har et eget ansvar for at taushetsbelagte opplysninger ikke blir gjort tilgjengelig for uvedkommende. Den som oppdager brudd på sikkerhetsregler eller mangelfull sikring av data skal melde dette til nærmeste overordnede eller til Sikkerhetsutvalget. Administrerende direktør har det øverste ansvaret for sikkerheten i Statistisk sentralbyrå. Sikkerhetsutvalget skal sørge for at Statistisk sentralbyrå holder en høy sikkerhetsstandard ved å utarbeide regler, retningslinjer og instrukser. Avdelingslederne skal sørge for at seksjons- og gruppeledere kjenner og etterlever det regelverk som gjelder og at dette regelverket blir supplert etter behov med spesielle tiltak og instrukser i forståelse med Sikkerhetsutvalget. Seksjonsledere og kontorsjefer skal sørge for at alle ved seksjonen/gruppa kjenner og etterlever det regelverket som gjelder for den enkeltes arbeidsomride og foreslå spesielle tiltak og instrukser for områder som er spesielle for seksjonen/gruppa. Avdelingsleder 1. Avdelingslederen skal sette seg inn i alle lover, regler og instrukser for innsamling, lagring, behandling og utlevering av data som gjelder i Statistisk sentralbyrå, og som er aktuelle for egen avdeling. Dersom avdelingslederen mener det er behov for andre instrukser i tillegg til disse ved avdelingen, skal vedkommende ta initiativ til at slike blir utarbeidet og godkjent av Sikkerhetsutvalget. 2. Avdelingslederen skal gjøre alle ved avdelingen kjent med de lover, regler og instrukser som skal gjelde for den enkelte seksjon eller gruppe og påse at disse blir etterlevd. 3. Avdelingslederen er ansvarlig for at saker forelegges Sikkerhetsutvalget der hvor dette følger av gjeldende regelverk og instrukser. 4. Avdelingslederen skal sørge for klarering og autorisasjon av sitt personale. 5. Avdelingslederen skal i januar hvert år sende en melding til Sikkerhetsutvalget om sikkerhetsarbeidet ved avdelingen. Sikkerhetsrapporten skal dekke de områder avdelingsleder har ansvaret for. Ut fra dette skal rapporten minst gi opplysninger om følgende: Hvem som har ansvaret for sikkerheten (inkl. gitte fullmakter) ved avdelingen. Hvilke sikkerhetstiltak som er gjennomført i løpet av året, opplæring, nye instrukser mv. Antall meldinger sendt til Datatilsynet. Praksis ved utlevering av data i året som gikk. Informasjon til nye medarbeidere - hva som - blir gitt. Kryptering av fødselsnummer - bruk av dette innen avdelingen. Problemer som det arbeides med, opprydding i dataarkiv, nye instrukser mv. Spesielle problemer som avdelingen trenger hjelp til. 6. Avdelingslederen er innenfor gjeldende regelverk ansvarlig for: 6.1. De registre avdelingen eier eller låner. Dette omfatter: Gradering av egne registre. Nødvendige konsesjoner fra Datatilsynet. Melding til Datatilsynet i henhold til gitte konsesjoner. Lagring av data. Utlevering til interne og eksterne brukere av egne registre. Kobling med andre registre. Kryptering. Sletting/makulering. Eventuelle andre spesielle pålegg. Behandle lånte registre etter eierens instruks. 10

Statistisk sentralbyrås håndbøker 45 Sikkerhetshåndbok 6.2. Bruk og vedlikehold av eget frittstående teknisk utstyr og IT-utstyr (utstyr som ikke er koblet til lokalnett eller sentral stormaskin). 6.3. Fysisk sikkerhet i avdelingens lokaler og adgangskontroll til disse, se imidlertid punkt 9 nedenfor. Ansvaret for dette kan avdelingslederen delegere til avdelingens seksjons- og kontorsjefer. 7. Avdelingslederen skal påse at avdelingen følger forsvarlige regler for publisering innenfor hvert statistikkområde ved avdelingen og at oppgavegiverne blir gjort kjent med at de kan kreve tall i Statistisk sentralbyrås tabeller undertrykket dersom det etter en nærmere vurdering viser seg at publisering er i strid med statistikkloven. 8. Avdelingsleder ved Administrasjonsavdelingen er hovedansvarlig for den fysiske sikkerheten i Statistisk sentralbyrås lokaler, kontroll av adgang til bygningene og for at retningslinjer og rutiner for makulering av sensitiv informasjon etterleves. Avdelingsleder ved administrasjonsavdelingen er videre ansvarlig for utlevering av nøkkelkort og adgangstegn. 9. Den avdelingsleder som administrerende direktør peker ut er ansvarlig for sikring av den sentrale databehandling og beskyttelse av det sentrale arkiv. Juridisk rådgiver tilknyttet Sikkerhetsutvalget skal være SSBs rådgiver innen de fleste områder av sikkerhetsarbeidet skal forelegges alle vesentlige saker av sikkerhetsmessig art og skal kunne uttale seg om disse skal kunne møte i de fora der sikkerhetsspørsmål drøftes skal kunne veilede og orientere linjelederne i sikkerhetsspørsmål. Seksjonssjef for Seksjon for IT-drift har det overordnete ansvaret for den daglige datasikkerheten i Statistisk sentralbyrå. Dette inkluderer bl.a. ansvar for systemprogrammering og driftsansvar for felles programvare og datamaskiner. Seksjonssjefen for ITdrift har også det overordnede ansvar for å holde jour lese- og skrivetillatelser i sikkerhetsprogrammet og for at de er i samsvar med skriftlig ordre fra registeransvarlig. Dataadministratoren, ved Seksjon for IT-drift, skal tildele registernummer og føre en journal over alle registre. Journalen skal vise hvem som eier registeret og hvilke restriksjoner som er lagt på registeret. Dataadministrator skal sørge for at rutiner for kryptering av identifikasjonsnummer blir holdt ajour, tilfredsstillende beskrevet, og at informasjonen om bruken av rutinen er tilfredsstillende. Dataadministrator er videre ansvarlig for oppfølging av halvårlige rapporteringer til Datatilsynet i tråd med rammekonsesjonen. Kontorsjefene ved IT-kontorene i avdelingene vil ha ansvar for datasikkerheten i avdelingen og for de edbrutiner som utvikles ved avdelingene og for tildeling av brukerprofiler for ansatte i IT-gruppa. Sikkerhetsutvalget 1. Utvalget har en rapporterings- og orienteringsplikt overfor administrerende direktør i alle sikkerhetssaker. Utvalget skal hvert år utarbeide en rapport om sikkerhetsarbeidet i Statistisk sentralbyrå. 2. Utvalget er ansvarlig for at Statistisk sentralbyrå til enhver tid både har en tilfredsstillende edbsikkerhet og organisatorisk sikkerhet ved å utarbeide regler, retningslinjer og instrukser som: Sikrer at datainnsamling, datalagring og datautlevering skjer i samsvar med de lover og forskrifter som gjelder slik at Statistisk sentralbyrås interesser ivaretas. Regulerer sikkerheten og pålegger de ansatte og andre som befinner seg i Statistisk sentralbyrås lokaler ansvar og plikter. Sørger for at arbeidet innen hver avdeling blir organisert på en slik måte at de sikkerhetsmessige hensyn blir ivaretatt. 3. Sikkerhetsutvalget møter i Statistisk sentralbyrås direktørmøter 2 ganger i året for å ta opp aktuelle sikkerhetsspørsmål. De aktuelle spørsmålene forutsettes behandlet i avdelingene på forhånd. 4. Sikkerhetsspørsmål skal settes opp som sak på minst ett Alledermøte i året etter forslag fra Sikkerhetsutvalget. 5. Sikkerhetsutvalget velger tilfeldig ut minst en seksjon i året til sikkerhetskontroll. Kontrollen gjennomføres av Sikkerhetsutvalget i samarbeid med IT-utvalget og dataadministrator. Etter kontrollen lages det en rapport som behandles i Direktørmøte. 6. Utvalget har ansvar for å holde à jour Statistisk sentralbyrås beredskapsplan. 7. Utvalget kan sette i gang sikkerhetstiltak etter godkjenning av administrerende direktør. 1 1

sikkerhetshåndbok Statistisk sentralbyrås håndbøker 45 8. Statistisk sentralbyrås kontakt med Datatilsynet skal skje gjennom Sikkerhetsutvalget, unntatt rutinemessige meldinger om opprettelse av personregistre hvor Sikkerhetsutvalget har et tilsynsansvar. Sikkerhetsutvalget oppnevnes av administrerende direktør og består av den i ledelsen som er tillagt politikk- og tilsynsansvaret for området, for tiden Johan-Kristian Tønder, lederen for IT-drift, for tiden Rune Gløersen, en av Administrasjonsavdelingens jurister, for tiden Mette Bredengen, og Sikkerhetsutvalgets sekretær, for tiden Britt Laberg. 12

Statistisk sentralbyrås håndbøker 45 Sikkerhetshåndbok C Behandling av personopplysninger/foretaksopplysninger i statistikkproduksjon 3. Datainnsamling 3.1. Generelt Selv om de regler og rutiner som er nevnt nedenfor relaterer seg til behandling av informasjon til statistikkproduksjonen, er det viktig å huske at Statistisk sentralbyrå også behandler mye informasjon også til andre formål. Som eksempel nevnes lønns- og personalopplysninger om tilsatte i Statistisk sentralbyrå, økonomi- og budsjettopplysninger og korrespondanse med andre offentlige etater, bedrifter og enkeltpersoner. For behandling av denne type informasjon vil mange av de samme retningslinjer og rutiner som nevnes nedenfor, i stor grad gjelde tilsvarende. I Statistisk sentralbyrå er det nødvendig å gjøre mange unntak fra allmennhetens rett til innsyn i dokumenter mv. Primærdata og administrative data innhentet med hjemmel i statistikkloven og opplysninger innhentet på frivillig grunnlag, er i medhold av loven undergitt taushetsplikt. Oppgavegiverne har ifølge loven krav på at opplysningene bare nyttes til utarbeiding av offisiell statistikk eller annen bruk godkjent av Datatilsynet, og at opplysningene ikke offentliggjøres slik at de kan spores tilbake til oppgavegiver eller annen identifiserbar enkeltperson til skade for denne (eller til urimelig skade for denne dersom oppgavegiveren er et foretak eller offentlig organ). Opplysningene som blir gitt frivillig eller som blir samlet inn med hjemmel i andre lover, skal i denne sammenheng behandles som om de var samlet inn med hjemmel i statistikkloven. Det er et generelt prinsipp for behandling av all informasjon som skal brukes i statistikkproduksjon at: 1. Det bare skal samles inn den informasjon det er behov for i statistikkproduksjonen. 2. Oppgavegiverne skal ikke identifiseres mer enn det er behov for på hvert trinn i produksjonen. 3. Sikkerhetsgradert informasjon som det ikke er behov for i statistikkproduksjonen skal fjernes så tidlig som mulig. 4. Informasjon som skal brukes, må sikres. Informasjon som ikke brukes, skal slettes. 5. Informasjonene skal ordnes i registre, og hvert register skal ha en ansvarlig eier. 6. Rutiner og informasjon skal dokumenteres på en fullstendig og oversiktlig måte. For øvrig viser vi til publiseringshåndboka og SLo 18.12.96, Etablering av ny statistikk (se vedlegg H). 3.2. Hjemmel for datainnsamling mv. Lov om personregistre m.m. av 9.6.78 nr. 48 og forskrifter fastsatt med hjemmel i denne samt SSBs rammekonsesjon for føring av personregistre av 11.11.97, inneholder bestemmelser som er av betydning for hvordan Statistisk sentralbyrå kan bruke den informasjonen som befinner seg i SSBs lokaler. Personregisterloven pålegger enhver som ønsker å opprette et register for lagring av identifiserbare personopplysninger å innhente tillatelse (konsesjon) fra Datatilsynet. Loven gir videre anvisning på generelle retningslinjer for enhver som er i befatning med personopplysninger, bl.a. presiseres den regel at identifiserbare personopplysninger bare skal lagres dersom det er en saklig begrunnelse for det og at sensitive personopplysninger, som helseopplysninger, opplysninger om seksuelle forhold, straffbare forhold m.m., bare skal registreres i den grad det er nødvendig. Personregisterloven stiller m.a.o. et sterkere behovskrav når det er snakk om sensitiv informasjon. Disse krav vil stort sett være tilfredsstilt dersom opplysningene anses nødvendige for utarbeidelse av offisiell statistikk. En strengere vurdering av sensitive opplysninger bør uansett, slik personregisterloven legger opp til, også være retningsgivende for Statistisk sentralbyrå i vurderingen av hva som er nødvendig å registrere/lagre i det enkelte tilfellet. Slike sensitive opplysninger vil ofte være underlagt taushetsplikt i særlov. Det er da viktig å merke seg at det ved innhenting av slik informasjon vil være nødvendig med dispensasjon fra taushetsplikten fra det aktuelle fagdepartement. For øvrig vil det alltid bli stilt strengere vilkår med hensyn til sikkerhet, oppbevaring og bruk av slik sensitiv informasjon. 13

sikkerhetshåndbok Statistisk sentralbyrås håndbøker 45 Personopplysninger er opplysinger og vurderinger som direkte eller indirekte kan knyttes til identifiserbare enkeltpersoner, sammenslutninger eller stiftelser. Definisjonen omfatter således både fysiske personer (enkeltpersoner) og juridiske personer (foretak, selskap, AS, o.l.). For øvrig viser vi til Interne dokumenter 97/1 Hjemmel for datainnsamling. 3.3. Vedtak om bruk av lovhjemmel ved datainnsamling og ved bruk av tvangsmulkt For alle data som SSB mottar, skal hjemmelsgrunnlaget gjøres klart for dataleverandør. Datamottaket i SSB bygger på: 1. Hjemmel i statistikldoven 2-2 2. Hjemmel i statistilddoven 2-2 jf. 3-2 3. Hjemmel i andre lover som gir SSB rett til å kreve opplysningene 4. Frivillig innsamling. Det vises for øvrig til «Lovhjemmel ved datainnsamling». (Interne dokumenter 97/1.) Oppgavegiverne skal ikke gis vederlag for å kunne oppfylle oppgaveplikten. Dette gjelder også for administrative data, jf. brev fra Finansdepartementet av 18.03.96 (saksnr. 96/309). Lovgiverne har imidlertid erkjent at det finnes en grense for hvor stor økonomisk belastning en oppgavegiver må tåle i denne sammenheng. Vurderingen av hvor store kostnader en oppgavegiver kan påføres må foretas før beslutningen om bruk av oppgaveplikt tas. Som vurderingskriterier sies det i forarbeidene til statistikkloven (Innst. 0 nr. 97 1988/ 89 s. 3) at: Det skal tas hensyn til nødvendigheten av at opplysningene gis til SSB, men også til de omkostningene oppgavegiver pådrar seg i forbindelse med oppfyllelse av oppgaveplikten. Den samlede tidsbruk for oppgavegiverne skal anslås. Vurderingen skal foretas konkret i det enkelte tilfellet. Det skal i vurderingen også tas hensyn til «hva slags statistikk som er tilgjengelig for bedriftene og hvilken kvalitet statistikken har». Dette innebærer at selv om det vil være kostnadskrevende for en oppgavegiver å oppfylle oppgaveplikten, vil disse kostnadene tillegges redusert vekt dersom oppgavegiveren selv er bruker av statistikken og derved avhengig av at statistikken holder et høyt kvalitetsnivå. Dersom omkostningene likevel blir for store, må alternativet til oppgaveplikt bli frivillig innlevering eller at undersøkelsen ikke gjennomføres. Dette vil også til en viss grad kunne åpne for finansiering som skal kompensere for noe av oppgavegivernes kostnader ved å delta i en statistisk undersøkelse. En slik kompensasjon skal alltid godkjennes av administrerende direktør. SSB har, med unntak av omfattende og ressurskrevende undersøkelser som krever særskilt budsjettbehandling i Stortinget, fått delegert myndigheten til selv å bestemme hva som skal lages av offisiell statistikk og hvilket grunnlag denne statistikken skal bygges på. SSB må derfor konkret vurdere om de opplysninger den enkelte oppgavegiver blir bedt om å gi er nødvendige i forhold til formålet med undersøkelsen. Oppgaveplikten er som omtalt i pkt. 3.2 begrenset av lovbestemt taushetsplikt. Statistikidoven eller forarbeidene til denne sier ellers lite om begrensninger i retten til å pålegge oppgaveplikt. Det finnes imidlertid grenser for hva det kan spørres om, først og fremst av hensynet til diskresjon og unmelig inntrengen i den enkelte oppgavegivers private sfære. I praksis bør vi særskilt vurdere undersøkelser eller spørsmål som inneholder: 1. Vurderinger eller hypotetiske spørsmål (f.eks. konjunkturbarometeret). 2. Sensitive spørsmål (f.eks. politiske valg, seksualvaner, tidsbruk, helse, levekår mv.). 3. Undersøkelser/spørsmål som er særskilt tidkrevende og vanskelige. Grensene mellom disse gruppene er ikke klare. Forbruksundersøkelsen i sin nåværende form er f.eks. særlig belastende og kan være sensitiv. For undersøkelser som faller inn under de to første gruppene, vil vi ikke bruke oppgaveplikt. Vi bør også være noe tilbakeholdne med å pålegge oppgaveplikt for opplysninger om fremtidige planer. Men en vurdering av samfunnsnytten av f.eks. en statistikk over næringslivets investeringsplaner har resultert i innføring av oppgaveplikt for foretak til den kvartalsvise investeringsstatistikken. I noen få tilfeller har vi i undersøkelser med oppgaveplikt tatt inn spørsmål som faller innen gruppe 1) eller 2), men markert at det er frivillig å svare på disse spørsmålene. Vi bør unngå å ta med slike spørsmål i oppgavepliktige undersøkelser, men dersom det likevel gjøres må det tydelig oppgis hvilke spørsmål det ikke er oppgaveplikt for. 14

Statistisk sentralbyrås håndbøker 45 Sikkerhetshåndbok Innhenting av administrative data skal alltid baseres på oppgaveplikt med hjemmel i statistilddoven hvis ikke datainnhentingen er hjemlet i annen lov, (jf. begrensninger i særlov). Statistilddovens 3-2 gir statistisk sentralbyrå rett til å utnytte administrative datasystemer i statsforvaltningen og landsomfattende kommunale organisasjoner som grunnlag for offisiell statistikk. Med hjemmel i statistilddoven har derfor Statistisk sentralbyrå inngått avtale med de fleste aktuelle statlige forvaltningsorganer om utlevering av slike data, (jf. Rapport om bestemmelsene i statistikkloven om administrative data og samordning av statistikk. Stat-us 31.12.1994 Planer og meldinger 9/95). Disse avtalene med hjemmel i statistikklovens 2-2, jf. 3-2 gir det formelle grunnlag for å be om overføring av slike data (jf. Forskrift om gjennomføring og utfylling av Statistilddoven, 1-2, fastsatt av Finansdepartementet 13.2.1990). Det er ikke nødvendig med ytterligere godkjenning av administrerende direktør i forbindelse med overføring av data som er omfattet av en inngått avtale. Dersom det ikke er inngått slik avtale mellom et statlig forvaltningsorgan og SSB, er det ikke tillatt å overføre data uten at det fattes særskilt vedtak av administrerende direktør. (For statlige forvaltningsorganer kan vi ikke pålegge tvangsmulkt, jf. delegeringsbrevet fra Finansdepartementet av 13.2.1990.) Rutinene for vedtak om oppgaveplikt er beskrevet i Håndbok nr. 49 s. 9; «Oppgaveplikt og tvangsmulkt». Disse retningslinjene suppleres noe her. For all statistikkproduksjon som skal baseres på ny direkte datainnsamling skal de respektive avdelinger vurdere om oppgaveplikt, med eller uten bruk av tvangsmulkt, skal benyttes. Statistikkloven hjemler altså grunnlag for å pålegge oppgaveplikt ( 2-2). SSB kan også med hjemmel i statistilddoven 2-3 om nødvendig ilegge tvangsmulkt ved overskridelse av frist til å gi opplysninger. Oppgaveplikt kan altså vedtas både med og uten bruk av tvangsmulkt. Avdelingens vurdering av bruk av oppgaveplikt skal dokumenteres skriftlig. Det samme gjelder ved større endringer i datainnsamling og når det er spørsmål om å innføre bruk av tvangsmulkt i tilfeller der det tidligere er fattet vedtak om oppgaveplikt uten bruk av tvangsmulkt. Administrerende direktør fatter vedtak i Direktørmøte. Den skriftlige dokumentasjonen skal inneholde opplysninger om: Oppgavegivere. Hvilke data som skal samles inn (eventuelt med vedlegg for utfyllende informasjon). Bruk av dataene (med referanse til produkter i produktregisteret pluss eventuelle andre prosjekter). Begrunnelse for hvorfor det er ønskelig med oppgaveplikt, eventuelt bruk av tvangsmulkt. Finansiering av prosjektene dataene skal brukes til. Andre opplysninger som kan være av betydning for eventuelt vedtak (alternative datakilder jf. f.eks. oppgavepliktregisteret, bruk av andre data i tillegg til de som skal samles inn mv.). Forslag til vedtak av administrerende direktør. Vedtak i saken tas inn i referat fra Direktørmøte sammen med eventuelle korrigeringer i saksdokumentene. Saksdokumentene og referatet fra Direktørmøtet oppbevares hos administrerende direktør. Kopier av disse dokumentene skal også oppbevares av de seksjonene som foretar datainnsamlingen. Dokumentene med vedtak er ikke unntatt offentlighet. Vedtaket skal også registreres i produktregisteret. For øvrig henviser vi til SSH 49. Kopi av vedtak om bruk av oppgaveplikt skal følge med den melding som sendes Datatilsynet. 3.4. Frivillige undersøkelser Statistikkloven forutsetter at SSB kan innhente opplysninger på frivillig grunnlag. Det er således i rammekonsesjon fra Datatilsynet gitt tillatelse til å registrere opplysninger innhentet på frivillig grunnlag. Når opplysninger innhentes på denne måten, gjelder det spesielle vilkår både med hensyn til den informasjon som gis til den enkelte og med hensyn til hvordan SSB kan bruke opplysningene. Når intervjuundersøkelser eller oppgaveinnhenting er basert på samtykke fra den enkelte, er utgangspunktet at den bruk som i ettertid gjøres av opplysningene styres av det samtykket som er gitt, det vil si at SSBs rett til utnyttelse av opplysningene ikke går lenger enn hva den enkelte har gitt sitt samtykke til. Det blir derfor.avgjørende at den informasjon som gis så konkret som mulig beskriver hva SSB skal bruke opplysningene til. Dette innebærer også at det må informeres om hvorvidt opplysningene skal 15

Sikkerhetshånd bok Statistisk sentralbyrås håndbøker 45 kobles mot opplysninger i andre registre. (Se nærmere om dette i punkt 4.3.) Når opplysninger innhentes på frivillig grunnlag, skal det alltid gjøres uttrykkelig oppmerksom på at den enkelte kan nekte å delta i vedkommende undersøkelse e.1. (rammekonsesjonens punkt 2.2). SSBs praksis med å registrere opplysninger om personer som ikke samtykker til å delta, har vært kritisert av Datatilsynet. Grensene for hva som er tillatt er nå fastsatt i rammekonsesjonens pkt. 2.2 hvor hovedregelen er at registrering av frafallsårsak kun er tillatt der respondenten samtykker til slik registrering. Frafallsårsak kan registreres i en av følgende grupper: intervjuobjektet indisponert, kommunikasjonsproblemer eller nekting. Dersom intervjuobjektet ikke treffes, kan dette registreres som «ingen kontakt med intervjuobjektet» eller «intervjuobjektet utilgjengelig». 3.5. Databehandling i Statistisk sentralbyrå som databehandlingsforetak Dersom SSB bearbeider opplysninger på oppdrag fra andre offentlige etater eller private foretak, vil SSB etter personregisterloven kunne defineres som et databehandlingsforetak. Databehandlingsvirksomhet er konsesjonspliktig virksomhet som reguleres av personregisterloven. I den grad SSB mottar personregistre fra andre for å bearbeide personopplysninger etter oppdrag, vil slik virksomhet kunne være konsesjonspliktig databehandling. Personregisteret kan i så fall bare brukes til de formål og på den måte som oppdragsgiver bestemmer. Det er usikkert i hvilken grad det er aktuelt for SSB å drive slik virksomhet. I forbindelse med ordinær oppdragsvirksomhet vil SSB alltid forbeholde seg retten til å publisere materialet som offisiell statistikk. I de tilfellene der innhenting av opplysninger skjer med hjemmel i statistikldoven eller er basert på frivillighet fra den enkelte oppgavegiver, vil det være i strid med statistilddoven at oppdragsgiver avskjærer denne muligheten. Dersom SSB mottar personregistre som et databehandlingsforetak, vil det ikke være nødvendig å bruke statistikkloven som hjemmel for innhentingen fordi en registereier lovlig kan utlevere et register til et foretak som har databehandlingskonsesjon. 3.6. Taushetsplikten Statistikklovens 2-4 pålegger taushetsplikt for ansatte i SSB når disse forbereder eller utarbeider offisiell statistikk. Dette gjelder opplysninger om personlige forhold, drifts- og forretningsforhold eller tekniske innretninger og fremgangsmåter. I tillegg kan ansatte i SSB komme bort i informasjon som ikke har noe med statistikkproduksjon å gjøre, f.eks. personal- og budsjettopplysninger. I henhold til annen lovgivning (f.eks. forvaltningslovens 13) vil det gjelde taushetsplikt også for denne type opplysninger. Alt personale tilknyttet SSB skal derfor undertegne en egen taushetserklæring og gjøres kjent med det straffeansvar som følger av brudd på taushetsplikten, jf. statistikklovens 5-1. Når det gjelder innhenting av informasjon fra administrative registre i organ for stat og kommune, vil oppgavegiverens taushetsplikt som hovedregel ikke være til hinder for utlevering til SSB, jf. forvaltningslovens 13b nr 4 ("opplysningene kan brukes for statistisk bearbeiding"). Unntak gjelder der taushetsplikt er fastsatt i særlov (f.eks. legelovens eller tannlegelovens 31). Det er også utarbeidet en taushetserklæring som må underskrives av personer med annen tilknytning til SSB enn ansettelseskontrakt, som i deres arbeid kan komme bort i taushetsbelagt informasjon. Eksempler på ulike tilknytningsforbindelser i denne sammenheng kan være at en person: Er medlem av et utvalg tilknyttet SSB. Er deltaker i et internt prosjekt. Har konkret tilgang til opplysninger i forbindelse med eksterne prosjekter. Har tilgang til utstyr som kan inneholde taushetsbelagt informasjon (reparasjons- og servicepersonale). Taushetserklæringen pålegger alle ansatte i SSB og andre med tilknytning til SSB, å vise aktsomhet i behandlingen av alle opplysninger som SSB henter inn. Taushetsplikten gjelder overfor uvedkommende; det vil si også overfor andre personer i SSB som ikke har behov for å kjenne til en bestemt type informasjon i sitt arbeide. Personopplysninger skal ikke spres unødig. Det gjelder et "need to know"-prinsipp internt i SSB. Opplysninger som av hensyn til offentlige, enkeltpersoners, institusjoners eller bedrifters interesser er å anse som fortrolige må ikke gjøres kjent for andre. 16

Statistisk sentralbyrås håndbøker 45 Sikkerhetshåndbok Alle blir også pålagt ikke å gi opplysninger om resultater av statistiske undersøkelser før SSB har frigitt dem til offentliggjøring. Taushetsplikten gjelder også etter at man har sluttet i SSB eller oppdraget for SSB er ferdig utført. For opplysninger til bruk for statistikk gjelder taushetsplikten i 100 år for opplysninger om personlige forhold, og i 60 år for opplysninger om drifts- eller forretningsforhold. 3.7. Personregister Personregistre er registre, fortegnelser m.m. der personopplysninger, dvs. opplysninger både om fysiske og juridiske personer, er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. Det vil således alltid være et personregister dersom opplysningene er knyttet til fødselsnummer eller andre direkte identifiserende kjennetegn. Hva som er identifiserende må vurderes i forbindelse med det enkelte register. Desto flere opplysninger om den enkelte et register inneholder, jo støne er muligheten for identifikasjon. Summen av en rekke opplysninger vil kunne gjøre det mulig å identifisere en person selv om hverken fødselsnummer, fødselsdato eller navn er registrert. I et avidentifisert register er navn, fødselsnummer eller andre direkte kjennetegn flernet. Et avidentifisert register vil kunne være et personregister dersom det til tross for avidentifiseringen kan obakveisidentifiseres», dvs. at det er mulig å identifisere den enkelte på bakgrunn av de opplysninger som er gitt. Først når slik indirekte identifikasjon ikke er mulig (i hvert fall uforholdsmessig van-. skelig), vil man kunne definere registeret som anonymt. Et anonymt register er pr. definisjon ikke et personregister. Det er derfor viktig å skille mellom avidentifiserte og anonymiserte registre (se også pkt. 7.3). Et avidentifisert register som ikke er tilstrekkelig anonymisert, er underlagt personregisterlovens bestemmelser. Et tilstrekkelig anonymisert register faller utenfor disse bestemmelsene da det ikke regnes som et personregister. Et kryptert register vil imidlertid alltid regnes for et personregister dersom registereier (se pkt. 3.8) sitter med krypteringsnøkkelen. Det som er sagt om avidentifiserte registre vil også gjelde for krypterte registre med hensyn til hvorvidt det er tilstrekkelig anonymisert. Det kreves som hovedregel samtykke (konsesjon) for å opprette personregister som skal gjøre bruk av elektroniske hjelpemidler. Samtykke kreves også for å opprette manuelle personregistre dersom de skal inneholde opplysninger om rase, politisk eller religiøs oppfatning, helseforhold, misbruk av rusmidler, seksuelle forhold eller andre opplysninger om familieforhold enn slike som gjelder slektskap og familiestatus, formuesordningen mellom ektefeller og forsørgelsesbyrde. For opplysninger samlet inn til bruk i statistikkproduksjon og annen nærmere angitt bruk godkjent av Datatilsynet med hjemmel i statistikkloven 2-5 (spesifisert i SSBs rammekonsesjon, se vedlegg 1), behøves det imidlertid ikke å søke om konsesjon. Det skal i stedet sendes en melding om opprettelse av nytt/endring i allerede meldt register. Se pkt. 5.3 nedenfor for nærmere veiledning. Hva er et register i Statistisk sentralbyrå? Presisering av hva som er ett personregister har størst betydning for informasjon som skal brukes i statistikkproduksjonen. Dette fordi de fleste administrative registre til bruk internt i Statistisk sentralbyrå stort sett er unntatt fra konsesjonsplikten, se også nedenfor under punkt. 5.7. Det er nødvendig å ha et godt register over alle oppgavegivere, dvs alle enheter som statistikken skal omfatte. Disse enhetene er personer og foretak. Offentlige myndigheter, foreninger osv. oppfattes her som foretak. Det følger av definisjonen av et personregister at det kan bli vanskelig å avgrense registrene i Statistisk sentralbyrå. Det må derfor stilles tilleggsvilkår slik at registerbegrepet og konsesjonssystemet gir mening. En samling opplysninger hvor den enkelte person/ foretak/bedrift m.m. kan gjenfinnes må tilfredsstille følgende vilkår (alle må være oppfylt) for å kunne regnes som ett personregister: 1. Enhetene opplysningene gjelder er definert på samme måte. 2. Enhetene er identifiserbare ved samme identifikasjonssystem, f.eks. ved bruk av fødselsnummeriorganisasj onsnummer. 3. Personopplysningene er standardiserte, dvs. at de enkelte kjennemerker som inngår i materialet må være definert og ldassifisert på en ensartet måte. 17

Sikkerhetshåndbok Statistisk sentralbyrås håndbøker 45 Enkeltkjennemerker som refererer til ulike tidspunkter eller perioder, vil i denne sammenheng oppfattes som forskjellige kjennemerker. 4. Det faglige ansvar for lagring, oppdatering og bruk av data kan legges til en og samme administrative enhet. Dersom ett eller flere punkter ikke er oppfylt, må samlingen av opplysninger deles i flere registre. En rekke typer personregistre til ulike formål er unntatt konsesjonsplikt. Personregisterlovens forskrifter, kapittel 2, konkretiserer hvilke registre dette er. Det er viktig å merke seg at forskriftene er uttømmende, dvs. registrene kan bare inneholde de nevnte opplysninger og kan bare brukes til de nevnte formål for å kunne være unntatt konsesjonsplikt. Viktige unntak for SSB er registre over nåværende eller tidligere ansatte, bibliotekets låneregister og kunde-, abonnent- og leverandørregistre. 3.8. Plikter pålagt den registeransvarlige i Statistisk sentralbyrå SSB defineres som registereier. Leder i sikkerhetsutvalget er i rammekonsesjonen oppnevnt som registeransvarlig generelt for alle SSBs registre. Dette ansvaret vil i praksis kunne delegeres til den enkelte avdeling/seksjon som oppretter registeret. Den som har fått delegert registeransvar må påse følgende: At melding om opprettelse og endring av personregister blir utarbeidet i tråd med rammekonsesjon fra Datatilsynet, behandlet i SSBs ledelse og sendt Datatilsynet. Ha ansvaret for de datasettene/opplysningene som et register til enhver tid består av. Avgjøre hvem som skal gis tilgang til datasett/ opplysninger. Tilsatte ved den enkelte enhet skal bare gis tilgang til de datasett/opplysninger vedkommende har et tjenestemessig behov for. Ved ansettelse av nye personer orientere om hvilke data/opplysninger som er undergitt taushetsplikt, og betydningen av at taushetsplikten overholdes. Være ansvarlig for at det ved den enkelte avdeling/seksjon/gruppe etableres regler og rutiner for behandling av data gradert høyere enn FOR- TROLIG og BEGRENSET, jf. nedenfor under pkt. 9.5. 3.9. Rutiner ved søknad/melding om konsesjon Hvordan melde registre? SSBs rammekonsesjon har fastsatt rammen for hva slags type registre SSB kan ha, hvordan informasjon skal samles inn, oppbevares og brukes. Datatilsynet har imidlertid innenfor rammekonsesjonen et system hvor nye registre/endringer i tidligere etablerte registre skal meldes før opplysninger kan samles inn og lagres. Disse meldingene skal skje på et fastsatt skjema, jf. vedlegg B. Praksis har vist at disse meldingene har blitt behandlet som ordinære søknader om konsesjon, noe som bl.a. innebærer at innholdet av disse meldingsskjemaene blir viktige. Etter revisjonen av rammekonsesjonen (konsesjon av 11.11.97) har omfanget av meldeplikten blitt redusert. Det er nå kun to kategorier registre som skal meldes fortløpende: 1. Opprettelse/endring av personregistre som inneholder sensitive personopplysninger. 2. Opprettelse/endring av personregistre der opplysningene er innhentet på frivillig grunnlag. Slike registre er meldepliktige selv om de ikke inneholder sensitive personopplysninger. Meldingen skal inneholde kopi av eventuelt vedtak om bruk av oppgaveplikt. Disse to ovennevnte registertyper er skilt ut for at Datatilsynet skal kunne kontrollere at innhentingen av opplysningene er lovlig før konsesjon kan gis. Ved innhenting av sensitive opplysninger vil Datatilsynet kontrollere hvorvidt det foreligger lovbestemt taushetsplikt som kan være til hinder for innhenting av opplysningene. Ved innhenting av opplysninger gitt på frivillig grunnlag, reguleres innhentingen av respondentens samtykke. Datatilsynet ønsker i den forbindelse å kontrollere at det avgitte samtykket er reelt. Dette vil gjøres ved at Datatilsynet gjennomgår den informasjon som gis respondenten i forbindelse med gjennomføring av undersøkelsen. I tillegg til meldeplikt for de ovennevnte registre er det fastsatt at det hvert halvår skal sendes en oversikt til Datatilsynet med en kortfattet melding for alle registre som er opprettet i SSB de siste seks måneder. Dette vil da også gjelde de registre som hverken inneholder sensitive personopplysninger eller er innhentet på frivillig grunnlag. Også de registre som allerede er meldt skal omfattes av disse halvårlige meldingene. Innenfor de regler rammekonsesjonen setter og utfra det som her er sagt om hva som er et personregister i SSB, er det fortsatt stor frihet i forhold til hva som skal meldes som ett register til Datatilsynet. Følgende regler kan imidlertid legges til grunn for de meldinger som skal sendes: Det skal ikke meldes unødig mange registre, dvs. en melding skal alltid dekke minst det omfang og 18

Statistisk sentralbyrås håndbøker 45 Sikkerhetshåndbok det datainnhold registret skal ha. Når det meldes et nytt register og det regnes som sikkert at det nye registeret vil bli koblet med et eksisterende eller fremtidig register, skal det sendes en melding som dekker de registrene som vil bli koblet. Meldingen om registre som inngikk i koblingen skal da tilbakekalles. En database som inneholder data fra to eller flere registre, skal meldes som et nytt register. Denne meldingen bor være så omfattende at den dekker de tidligere meldingene. Dersom datainnsamlingen utvides, må den registeransvarlige sorge for at det sendes en endringsmelding eller melding om nytt register til Datatilsynet. Dersom to eller flere tidligere meldte registre blir koblet til et register, og disse ikke skal oppbevares med kryptert identifikasjon, skal det nye registeret alltid meldes til Datatilsynet som nytt register. Meldingen om de registre som inngikk i koblingen skal da tilbakekalles. 19